สัมภาษณ์ Ivica Delic เกี่ยวกับผู้เชี่ยวชาญ WordPress & ความปลอดภัย
เผยแพร่แล้ว: 2019-09-05จนถึงตอนนี้ เราได้สัมภาษณ์เฉพาะผู้ที่เข้าใจและทำงานในแอปพลิเคชันและความปลอดภัยของ WordPress เราเคยได้ยินเสียงของ ผู้ขาย มาโดยตลอด อย่างไรก็ตาม ในการสัมภาษณ์ครั้งนี้ เราได้ใช้แนวทางที่แตกต่างออกไป เราได้สัมภาษณ์ Ivica Delic ผู้เชี่ยวชาญด้าน WordPress เกี่ยวกับความปลอดภัย ขอบเขตของการสัมภาษณ์ครั้งนี้คือการทำความเข้าใจให้มากขึ้นว่าผู้เชี่ยวชาญ WordPress ที่ซึ่งความปลอดภัยอาจไม่ใช่ทีมของพวกเขา มองเห็นและเข้าใจผลิตภัณฑ์และบริการด้านความปลอดภัยได้อย่างไร บทสัมภาษณ์นี้ยังช่วยให้เราเข้าใจว่าเราจะปรับปรุงจุดไหนได้บ้าง และผู้เชี่ยวชาญเหล่านี้ทำอะไรเพื่อรักษาเว็บไซต์ของลูกค้าให้ปลอดภัย
สัมภาษณ์
Q1: อะไรคือแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย 5 ข้อแรกที่คุณใช้ / ติดตามเมื่อคุณตั้งค่าเว็บไซต์ WordPress ใหม่?
อย่างแรกคือการเลือกโฮสติ้ง WordPress ที่ดีและเชื่อถือได้ ฉันได้ทำงานกับโฮสต์เว็บจำนวนมากและมีโฮสต์ที่ดีมากมาย ฉันใช้ SiteGround สำหรับงานส่วนใหญ่ของฉัน
แนวทางปฏิบัติที่ดีที่สุดอันดับสองคือการใช้กลยุทธ์การสำรองข้อมูลที่ดี ฉันมักจะใช้บริการออนไลน์เมื่อทำได้ เช่น BlogVault ทำให้สามารถจัดเก็บข้อมูลสำรองไว้นอกสถานที่และในที่ปลอดภัยได้
จากนั้นฉันก็ติดตั้งเครื่องมือรักษาความปลอดภัยและปลั๊กอินของ WordPress จำนวนหนึ่ง ฉันแนะนำ MalCare และ WP Activity Log เป็นแนวป้องกันสุดท้ายของเว็บไซต์ให้กับลูกค้าของเราทุกคน
แนวทางปฏิบัติที่ดีที่สุดสองข้อที่เหลือคือคำแนะนำสำหรับผู้ใช้ของเรา ใช้รหัสผ่าน WordPress ที่รัดกุมและไม่ซ้ำใคร และคอยอัปเดตคอร์ ธีม ปลั๊กอิน PHP และซอฟต์แวร์ทั้งหมดบนเว็บเซิร์ฟเวอร์และคอมพิวเตอร์ของคุณอยู่เสมอ หากเป็นไปได้ ให้ใช้ซอฟต์แวร์ป้องกันไวรัส/ป้องกันมัลแวร์
ไตรมาสที่ 2 คุณพบว่าปลั๊กอินและบริการความปลอดภัยของ WordPress ง่ายต่อการติดตั้งและใช้งานหรือไม่?
เราได้ทดสอบปลั๊กอินและเครื่องมือความปลอดภัยมากมายในช่วงหลายปีที่ผ่านมา มีบางอย่างที่ง่ายต่อการใช้งานและใช้งาน อย่างไรก็ตาม บางตัวใช้งานยากมากและพวกเขากำลังทำอันตรายมากกว่าผลดี พวกเขาปล่อยให้ผู้ใช้ตัดสินใจได้มาก อย่างไรก็ตาม ผู้ใช้และผู้เชี่ยวชาญส่วนใหญ่ไม่เชี่ยวชาญด้านความปลอดภัย ดังนั้นพวกเขาจึงพบว่าปลั๊กอินเหล่านี้ล้นหลามและจบลงภายใต้หรือปกป้องเว็บไซต์ของตนมากเกินไป
บ่อยครั้ง ผู้ใช้กำหนดค่าปลั๊กอินความปลอดภัยที่ซับซ้อนผิดพลาด ตัวอย่างเช่น พวกเขาถูกล็อคไม่ให้เข้าเว็บไซต์ของตนเองโดยปลั๊กอินความปลอดภัย หรือรูปภาพที่เชื่อมโยงด่วนทั้งหมดจะไม่โหลดอีกต่อไป หรือปลั๊กอินความปลอดภัยบางตัวที่มีรายงานการตรวจสอบความสมบูรณ์ของไฟล์ว่าการเปลี่ยนแปลงในไฟล์บันทึกอาจเป็นอันตราย ผู้ใช้ตื่นตระหนกกับสิ่งนี้เพราะพวกเขาไม่เข้าใจว่า ตัวอย่างเช่น การเปลี่ยนแปลงในไฟล์บันทึกไม่เป็นอันตราย หรือเหตุใดรูปภาพที่เชื่อมโยงด่วนจึงไม่ทำงาน
ไตรมาสที่ 3 อะไรคือความท้าทาย / ความยากลำบากที่สุดที่คุณพบเมื่อใช้งานหรือใช้ปลั๊กอินความปลอดภัย / ผลิตภัณฑ์ / บริการ?
เกี่ยวข้องกับคำถามก่อนหน้านี้ – ความท้าทายที่ใหญ่ที่สุดที่ฉันพบเป็นการส่วนตัวคือ ฉันต้องทดสอบและตรวจสอบเครื่องมือความปลอดภัยที่ใช้บนเว็บไซต์ของลูกค้า ซึ่งฉันอาจไม่คุ้นเคย บางครั้งเราเข้าควบคุมการจัดการเว็บไซต์ของลูกค้า และต้องตรวจสอบว่าโซลูชันการรักษาความปลอดภัยทั้งหมดทำงานร่วมกันอย่างเหมาะสมโดยไม่มีฟังก์ชันทับซ้อนกัน เราต้องตรวจสอบให้แน่ใจว่าไม่มีปัญหาความเข้ากันได้ระหว่างกันเพื่อหลีกเลี่ยงพฤติกรรมที่ไม่ต้องการ เช่น การบล็อกผู้ดูแลระบบของไซต์
ไตรมาสที่ 4 คุณติดตามเว็บไซต์ความปลอดภัยใด ๆ เพื่อเรียนรู้เกี่ยวกับความปลอดภัยของ WordPress หรือคุณปล่อยให้ผู้เชี่ยวชาญทำอย่างนั้น? หรือมันเป็นบิตของทั้งสอง?
ฉันเป็นสมาชิกและผู้ดูแลระบบของกลุ่ม Facebook Security บน WordPress ไม่กี่กลุ่มที่ผู้เชี่ยวชาญด้านความปลอดภัย WP จำนวนมากโพสต์ ฉันติดตามและอ่านข่าวด้านความปลอดภัยที่เกี่ยวข้องทั้งหมดรวมถึงคำแนะนำ / แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย อย่างไรก็ตาม งานที่ซับซ้อนในการทำความสะอาดไซต์ที่ติดไวรัสที่ฉัน (ยังคง) ยังไม่เชี่ยวชาญ ในสถานการณ์เช่นนี้ ฉันพึ่งพาผู้เชี่ยวชาญ
Q5. คุณชอบใช้บริการไฟร์วอลล์ WordPress ออนไลน์หรือติดตั้งปลั๊กอินไฟร์วอลล์ WordPress บนไซต์ของคุณหรือไม่? อธิบายว่าทำไม.
ฉันชอบใช้บริการ WordPress Web Application Firewall (WAF) แบบออนไลน์ ผู้เชี่ยวชาญทุกคนกล่าวว่า WAF เป็นชั้นความปลอดภัยที่ดีกว่ามากสำหรับการโจมตีของแฮกเกอร์และ DDoS WAF สามารถตรวจจับและบล็อกสิ่งที่เป็นอันตรายก่อนที่จะถึงไซต์ของคุณ ขออภัย ปลั๊กอิน WordPress ไม่สามารถให้บริการได้ เนื่องจากพยายามปกป้องเว็บไซต์จาก ภายใน
Q6. ในความเห็นของคุณ สาเหตุสามอันดับแรกที่ทำให้ไซต์ WordPress ถูกแฮ็กคืออะไร
ฉันมีความคิดเห็นเช่นเดียวกับผู้เชี่ยวชาญคนอื่นๆ หลายคน:
- โฮสติ้งเว็บไซต์ที่ไม่ปลอดภัย,
- การใช้รหัสผ่านที่คาดเดาได้ง่ายและคาดเดาได้ง่าย
- คอร์, ธีม, ปลั๊กอิน, PHP และซอฟต์แวร์อื่น ๆ ของ WordPress ที่ล้าสมัย
หากคุณไม่สนใจว่าฉันจะเพิ่มเคล็ดลับเพิ่มเติม หากคุณสนใจเกี่ยวกับเว็บไซต์และธุรกิจของคุณ อย่าติดตั้งปลั๊กอินและธีมที่ไม่มีค่า
คำถามที่ 7: คุณคิดว่าอุตสาหกรรม / ผู้ขายความปลอดภัยของ WordPress สามารถช่วยเหลือมืออาชีพเช่นคุณซึ่งความปลอดภัยไม่ใช่ถ้วยชา เข้าใจและปกป้องเว็บไซต์ของลูกค้าได้ดีขึ้นอย่างไร
กล่าวโดยย่อคือต้องทำให้ผู้ใช้ง่ายขึ้นมาก พวกเขาสามารถทำได้โดย:
- การสร้างวิซาร์ดเพิ่มเติมเพื่อการปรับใช้เครื่องมือรักษาความปลอดภัยที่ง่ายและรวดเร็วยิ่งขึ้น
- นำ “แนวทางปฏิบัติที่ดีที่สุด” ไปใช้โดยอัตโนมัติ ผู้ใช้จึงไม่ต้องทำอะไรมาก
- ใช้ระบบเตือน ดังนั้นเมื่อมีการติดตั้งเครื่องมือรักษาความปลอดภัยบางตัวบนไซต์เดียวกันกับคุณลักษณะที่ทับซ้อนกัน ผู้ใช้จะได้รับคำแนะนำเกี่ยวกับปัญหาดังกล่าว
Q8. หากคุณสามารถเลือกคุณสมบัติความปลอดภัยหนึ่งอย่างที่จะรวมอยู่ในแกนหลักของ WordPress โดยค่าเริ่มต้น คุณลักษณะนั้นจะเป็นอะไรและเพราะเหตุใด
ฉันต้องการเห็นบริการไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF) ที่รวมอยู่ใน WordPress เพื่อให้มีชั้นการรักษาความปลอดภัยขั้นพื้นฐานเป็นอย่างน้อย ดังที่เรามีใน Windows ที่มี Windows Defender ที่ติดตั้งไว้ล่วงหน้า
Q9. มีหัวข้อหรือเนื้อหาใดที่คุณต้องการดูเพิ่มเติมจากผู้จำหน่ายความปลอดภัยและผู้เชี่ยวชาญหรือไม่?
ฉันต้องการดูกรณีการใช้งาน ในชีวิตจริง สำหรับผู้เริ่มต้นที่อธิบายว่าจะทำอย่างไรในสถานการณ์ประจำวันโดยเฉพาะเมื่อความปลอดภัยถูกละเมิด มีค่อนข้างน้อย แต่ส่วนใหญ่กำหนดเป้าหมายไปที่เจ้าหน้าที่รักษาความปลอดภัยขั้นสูง พวกเขาใช้ศัพท์แสงและเครื่องมือที่ซับซ้อน
Q10. คุณรู้สึกว่าคุณสามารถติดตามข่าวสารด้านความปลอดภัยของ WordPress ได้หรือไม่? ถ้าไม่คุณคิดว่าปัญหาคืออะไร?
ใช่ หลังจากหลายปีมานี้ ฉันรู้สึกค่อนข้างมั่นใจว่าฉันรับมือกับมันได้ เราใช้เวลาค่อนข้างนานในการทดสอบและสร้างกล่องคำสั่งผสมเครื่องมือความปลอดภัยอย่างระมัดระวัง และเพื่อให้แน่ใจว่าทุกคนในทีมของเราปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย